Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, berichtet von einem neuen Internet-Wurm 'Cervivec'. Jetzt wurden bereits einige Meldungen über die Infektion durch diesen Schädling erhalten.

Der Internet-Wurm 'Cervivec' verbreitet sich via Internet als an die infizierten eMAils angehängte Dateien. Dies ist eine Windows-Anwendung (eine PE EXE-Datei), etwa 230K groß (mit UPX gepackt, die ausgepackte Datei ist etwa 670K groß), auf Delphi geschrieben.

Die verseuchten eMails haben das Subjekt und den Body auf verschiedenen Sprachen und werden aus folgenden Varianten zufällig gewählt:

Vtip
Cau posilam ti cerviky tak se na to podivej (virus to neni)

Vtip
Cau posielam ti cerviky tak sa na to pozri (virus to neni)

Witz
Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus)

blague
J'ai une bonne blague ca s'appelle verre de terre alors jette un coup d'oeil
(il n'y a pas de virus)

шутка
Привет, У меня естü приколüная штучка вроäе червяка (Üто не вирус)

Joke
Hi, I have some cool joke - worms so have a look at it (no virus)

Zart
Czesc, mam swietnz dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)

Chiste
Hola te mando los gusanilloes. Pues mirarlos (no es un virus)

Der Wurm aktiviert sich nur falls der User die verseuchte Datei (mit dem zweimaligen Klicken am Anhang) startet. Dann installiert sich der Wurm ins System und startet die Verbreitungs-Routine. Um seine Aktivität zu verstecken, startet der Schädling ein Video-Effekt: Bunte "Würmchen", die das Bildschirm fressen.

Bei der Installation kopiert sich der Wurm mit dem Namen "ntkrnl.exe" in den Unterordner \SYSTEM32 des Windows-Verzeichnisses und registriert diese Datei in der Autostat-Schlüssel des System-Registers:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernel Loader = %WindowsDir%\system32\ntkrnl.exe -LOADDRIVERS=TRUE

Die Schutzmaßnahmen gegen 'Cervivec' wurden bereits den Antiviren-Datenbanken des Kaspersky™ Anti-Virus hinzugefügt.